用备份进行Active Directory的灾难重建：Active Directory系列之三

核心提示： 我们把Tools文件夹的读权限授予了张建国， 我们先用域管理员登录访问一下Berlin上的Tools共享文件夹，用备份进行Active Directory的灾难重建：Active Directory系列之三(2)，如下图所示，域管理员没有访问共享文件夹的权限，而访问者的令牌又证明了自己就是域中

我们把Tools文件夹的读权限授予了张建国。

我们先用域管理员登录访问一下Berlin上的Tools共享文件夹，如下图所示，域管理员没有访问共享文件夹的权限。这个结果和我们的权限分配是一致的，我们只把共享文件夹的权限授予了张建国。

如下图所示，在Perth上以张建国的身份登录。

张建国访问Berlin上的共享文件夹Tools，如下图所示，张建国顺利地访问到了目标资源，我们的资源分配达到了预期的效果。

做完这个实验后，我们应该想一下，为什么张建国在访问共享文件夹时没有被要求身份验证呢？这是个关键问题，答案是这样的。当张建国登录时，输入的用户名和口令将送到域控制器请求验证，域控制器如果认可了张建国输入的用户名和口令，域控制器将为张建国发放一个电子令牌，令牌中描述了张建国隶属于哪些组等信息，令牌就相当于张建国的电子身份证。当张建国访问Berlin上的共享文件夹时，Berlin的守护进程会检查访问者的令牌，然后和被访问资源的访问控制列表进行比较。如果发现两者吻合，例如本例中Berlin上的共享文件夹允许域中的张建国访问，而访问者的令牌又证明了自己就是域中的张建国，那么访问者就可以透明访问资源，无需进行其他形式的身份验证。